Es por todos conocido que el pasado 12 de mayo entró en vigor la obligación que tienen todos los empresarios a la hora de garantizar el registro de la jornada laboral de sus trabajadores. Así lo establece el artículo 10, apartado 2 del Real Decreto-ley 8/2019, de 8 de marzo, de medidas urgentes de protección social y de lucha contra la precariedad laboral en la jornada de trabajo, por el que se modifica el artículo 34 del texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por el Real Decreto Legislativo 2/2015, de 23 de octubre, añadiendo un nuevo apartado 9.
Sin perjuicio de entrar a valorar
las diversas consecuencias que esto ha ocasionado, el gasto o no que las
empresas hayan tenido que asumir o la supuesta utilidad de esta nueva medida,
entre otras, nos centraremos, básicamente, en las repercusiones que el control
de la jornada laboral tiene en materia de protección de datos.
Ante esta nueva obligación, las
empresas han optado por distintos métodos de control de la jornada: desde los
menos intrusivos para la privacidad del trabajador, como puede ser una mera
hoja de firmas, hasta otros más sofisticados que llegan a registrar la huella
dactilar del empleado. En el presente artículo centraremos nuestra atención en
este último tipo.
El Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de
Datos) (en adelante, RGPD) considera la huella dactilar como dato biométrico y,
especialmente protegido o sensible, lo que implica la implementación en la
entidad de medidas de seguridad adicionales correspondientes al riesgo a los
que esta tipología de datos obedecen. En contraposición, la antigua LOPD
catalogaba esta tipología de datos como de nivel bajo, por lo que no
consideraba necesario la implementación de medidas adicionales.
De otra
parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (en adelante, LOPDGDD) no
menciona de manera específica y, por ende, no regula de manera más
pormenorizada esta tipología de datos.
Teniendo en
cuenta que la huella es un dato que tiene una categoría especial, ¿qué
parámetros debemos seguir para su implementación? ¿necesitamos el
consentimiento de los trabajadores? ¿cuáles son los límites?
En este
sentido, algunas autoridades de control de los distintos países miembros de la
Unión Europea ya han emitido informes al respecto, como la “Commission
Nationale de l’Informatique et des Libertés” (CNIL) de Francia o “Garante
per la protezione dei dati personali” de Italia, que no admiten el uso de
datos biométricos como sistema generalizado de control de horario.
En España, la
Autoridad Catalana de Protección de Datos ha indicado que no se puede
legitimar, con carácter general, la implantación de un sistema de registro
horario que recoja datos biométricos, siendo preciso una evaluación de impacto
previa a su implantación.
De otro lado,
la Agencia Española de Protección de Datos, quienes sí parecen admitir este
tipo de sistemas, aplicando una serie de garantías complementarias.
La AEPD
permite expresamente, tanto en su Informe Jurídico 65/2.015, como en el
apartado de preguntas frecuentes de su Sitio Web que, el único mecanismo de tratamiento
de huella dactilar sería aquel en que el dato biométrico fuera incorporado a
una tarjeta que portase el titular de los datos y, para poder acceder a las
instalaciones o, haciendo el paralelismo, para controlar la hora de entrada y
salida del trabajador, este ponga en el lector, simultáneamente, la tarjeta y
su huella dactilar. El sistema contrastaría que la huella colocada por el
empleado en el lector coincide con la registrada en la tarjeta y se autorizaría
el acceso, registrando el inicio de la jornada. Este sistema parece engorroso,
pero es el único expresamente autorizado por la AEPD hasta la fecha. En este
sentido, también expresa que la huella del empleado no debe incorporarse al
sistema informático de la empresa, problema que salva mediante la inclusión del
dato biométrico en una tarjeta que el trabajador porte.
Además, la
opinión 3/2.012 del artículo 29, antecesor al Comité Europeo de Autoridades de
Protección de Datos, establece como garantías, entre otras:
- Que los datos se almacenen cifrados.
- Que el almacenamiento de los datos biométricos
efectúe en un dispositivo personal pero no en un almacenamiento centralizado o
en el sistema.
- Que el sistema biométrico utilizado sea seguro y
que la reutilización de los datos para otros fines sea imposible.
- Que se diseñen de modo que se pueda revocar el vínculo
de identidad y con formatos o tecnologías q imposibiliten la interconexión de
bases de datos biométricos y la divulgación de datos no comprobadas.
Así las
cosas, la Audiencia Nacional, recientemente, ha revocado una sanción impuesta
por la AEPD a un gimnasio por utilizar un sistema de control en el que el
abonado no portaba una tarjeta, sino que el dato permanecía alojado en los
servidores de la entidad. En este sentido, la Audiencia Nacional afirma que,
aun no cumpliendo el sistema homologado por la AEPD, el uso de la huella no
vulnera el principio de calidad de los datos, como expresaba la sanción de la
Agencia, siempre y cuando se adopten una serie de garantías y, se realice y
supere el juicio de idoneidad, necesidad y proporcionalidad. En este mismo sentido,
la Audiencia Nacional distingue entre la condición de menores de edad y él
ámbito educativo al que el Informe Jurídico 65/2.015 hace alusión y, las
circunstancias singulares de un abonado en un gimnasio.
Otra de las cuestiones que puede planteársele
al empresario a la hora de informar al trabajador es si realmente se encuentra
legitimado para dicho tratamiento. En caso afirmativo, debemos plantearnos cuál
es la base que lo legitima. Actualmente, existe una corriente que considera el
consentimiento como base legitimadora para todo. En nuestra opinión, dicha
creencia es errónea, ya que el tratamiento basado en el consentimiento podría
ser revocado e incluso no otorgado, pues el art. 7 RGPD dispone que aquel debe
ser libre y no estar supeditado a un contrato. Todo ello sin entrar a valorar
la dudosa licitud del consentimiento prestado en el ámbito laboral.
Dicho esto, entendemos que la
legitimación jurídica del empresario para el tratamiento de los datos del
control de la jornada laboral del trabajador se basa en:
- El contrato laboral,
- La potestad de control de la ejecución del
contrato regulada en el artículo 20 del Estatuto de los Trabajadores y,
- El artículo 34 del ET que establece la
obligación del empleador de garantizar el registro de la jornada.
En este sentido y, aunque como ya
hemos comentado, la base legitimadora no sea el consentimiento, sí que existe
la obligación por parte del empleador de informar a sus trabajadores sobre el
tratamiento y finalidades de ese control horario.
¿Cambiará la
AEPD de parecer? Debido a los abrumadores avances tecnológicos, es probable que,
en futuros informes, incluso en el futuro proyecto de guía laboral en el que la
Directora de la Agencia Española de Protección de Datos comentó durante el
Encuentro sobre el Encuentro Sobre Registro Horario de 23 de abril del 2.019,
en la sede de CEOE que se encuentran inmersos en su redacción, ya se permita un
sistema menos tedioso y costoso para las empresas como es que el dato no se
encuentre almacenado en el propio sistema de la empresa, sino que es el
trabajador quien debe portarlo, almacenado en una tarjeta.
Sara Cordero
Moreno.
Asesora jurídica
de Picón & Asociados Abogados.